Agentes de la Guardia Civil han desarticulado un grupo de ciberdelincuentes que en el verano de 2020 hackeó a una empresa española dedicada a la custodia de criptodivisas, materializando su ataque en el robo de seis millones de euros en criptomonedas pertenecientes a miles de inversores. Se trata del primer caso resuelto en España de estas características y la operación, denominada 3COIN, ha sido llevada a cabo por agentes del Departamento Contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil bajo la dirección del Juzgado de Instrucción número 12 de Madrid, y se ha saldado con la detención de cinco personas, informa la Guardia Civil.
Tal y como indica, dicho ataque se puso en conocimiento del UCO, que inició con absoluta prioridad esta investigación dado el elevado número de personas afectadas y el valor de lo sustraído. El origen y las características del ataque, "altamente sofisticado", así como el seguimiento de los movimientos realizados por la criptomoneda sustraída "enmascarada en un complejo sistema de capitales", centraron la investigación, que quedó dificultada en gran medida por la razón de ser de la propia criptomoneda y el anonimato de las transacciones.
No obstante, los datos recabados inicialmente denotaron el uso de un sofisticado malware tipo RAT (Remote Access Trojan) más conocido como Troyano, el movimiento lateral en los ordenadores de la empresa, y el tiempo que estuvieron dentro de la misma los autores, lo que hizo pensar que detrás de este ataque pudieran estar autores del tipo APT (Amenazas Persistentes Avanzadas), vinculadas con sofisticados grupos de cibercriminales.
Otros detalles del ataque, propiciado por la descarga de un troyano en una web pirata
A medida que avanzó la investigación, los agentes pudieron concluir que el ataque a la empresa de criptoactivos española se originó en la descarga ilegal de una película en una web de contenido multimedia "pirata", por parte de un trabajador de la citada empresa. En este sentido, la Guardia Civil explica que los archivos que conformaban esa película contenían un virus informático altamente sofisticado que permitió a los atacantes hacerse con el control absoluto del ordenador del empleado y usarlo como cobertura para acceder a la empresa. Además, la descarga se produjo más de medio año antes de que tuvieran lugar los hechos, permitiendo a los atacantes conocer con detalle todos los procesos internos de la mercantil y preparar su ofensiva.
Como hemos señalado, tuvo lugar en el verano de 2020 y la Guardia Civil afirma que en ese momento los atacantes ya conocían todos los procedimientos, características y estructura de la empresa, y lograron acceder a ella por medio de una red de ordenadores interpuesta para dar la orden de transacción de criptomonedas por valor de 6.000.000 de euros.
Una vez robadas las criptomonedas, fueron transferidas a billeteras controladas por los propios atacantes, donde estuvieron inmovilizadas durante más de seis meses para intentar no llamar la atención policial. Y fue tras ese tiempo, una vez que se sintieron seguros, cuando empezaron a mover las criptomonedas usando un complejo entramado de billeteras electrónicas de blanqueo de capitales.
La identificación de los ciberdelincuentes y su detención
Los agentes abrieron distintas vías de investigación, lo que les permitió identificar al supuesto operador de la página web ilegal de contenido pirata desde la cual se distribuyó el virus informatico que propició el ataque. Además, gracias a otras vías de investigación tecnológica, pudieron identificar a 4 personas más, que supuestamente recibieron parte de las criptomonedas sustraídas y que no mantenían entre ellos ninguna relación aparente.
Por todo ello, el pasado mes de noviembre, los agentes contra el cibercrimen del UCO, llevaron a cabo 4 registros domiciliarios en las provincias de Tenerife, Bilbao y Barcelona, procediendo a la detención e investigación de 4 personas, a las que se les intervino material informático de gran interés para la investigación, así como criptomonedas relacionadas con el robo valoradas en 900.000 €.
Al analizar todo el material intervenido, los agentes pudieron constatar rastros de la supuesta autoría del ataque por parte de uno de los detenidos, localizando el malware tipo troyano utilizado y la trazabilidad del ciberataque, así como los movimientos iniciales de las criptodivisas sustraídas y el pago en las mismas al titular de la página web de descargas desde donde se lanzó el virus.
Constatada la supuesta autoría del ciberataque, la investigación se centró en la identificación de los posibles receptores de las criptodivisas sustraídas y su vinculación con el primero, lo que llevó a los investigadores hasta otro individuo, el cual recibió al menos 500.000 € en criptodivisa robada.
Esta misma semana la operación ha sumado una fase más, la última hasta el momento, con la investigación que se ha abierto sobre otra persona que ejercía un control sobre el supuesto autor a través del consumo de drogas vinculadas a rituales como el del Sapo Bufo.
"La plena disposición por parte de la víctima, junto con el trabajo realizado por la empresa experta en ciberseguridad que asistió a la misma, facilitó un intercambio de información con gran fluidez, lo que resultó de capital importancia en la resolución de esta investigación", apunta la Guardia Civil.